在pfSense中建立Nord VPN连接

Nord VPN是一家著名的VPN提供商,它提供的VPN服务可以保护你的网络安全,保护你的隐私。在pfSense中,可以使用OpenVPN来连接Nord VPN,下面介绍设置方法。

一、导入证书

通过浏览器访问pfSense,然后导航至System -> Cert. Manager -> CAs。然后选择 +Add。如下图所示:

二、选择VPN服务器

配置pfSense来连接到NL120服务器,必须是Nord VPN建议的服务器如下图所示:

填写如下字段:

描述名称: NordVPN_NL120_CA
方法: Import an existing Certificate Authority
证书数据:
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----

点击Save(保存)

三、设置VPN客户端

1、常规信息

导航到VPN -> OpenVPN -> Clients,点击+Add,填写以下字段:

禁用此客户端:不选。
服务器模式:点对点(SSL / TLS);
协议:仅IPv4上的UDP(也可以使用TCP);
设备模式:tun –第3层隧道模式;
接口:wan;
本地端口:留空;
服务器主机或地址:nl120.nordvpn.com;
服务器端口:1194(如果使用TCP,则使用443);
代理主机或地址:留空;
代理端口:留空;
代理身份验证:none;
描述:NordVPN_NL120。

2、用户认证设置

用户名:你的NordVPN用户名
密码:输入NordVPN密码(确认)。
身份验证重试:保持选中状态

3、加密设置

TLS配置:选中
TLS密钥:
-----BEGIN OpenVPN Static key V1-----
e685bdaf659a25a200e2b9e39e51ff03
0fc72cf1ce07232bd8b2be5e6c670143
f51e937e670eee09d4f2ea5a6e4e6996
5db852c275351b86fc4ca892d78ae002
d6f70d029bd79c4d1c26cf14e9588033
cf639f8a74809f29f72b9d58f9b8f5fe
fc7938eade40e9fed6cb92184abb2cc1
0eb1a296df243b251df0643d53724cdb
5a92a1d6cb817804c4a9319b57d53be5
80815bcfcb2df55018cc83fc43bc7ff8
2d51f9b88364776ee9d12fc85cc7ea5b
9741c4f598c485316db066d52db4540e
212e1518a9bd4828219e24b20d88f598
a196c9de96012090e333519ae18d3509
9427e7b372d348d352dc4c85e18cd4b9
3f8a56ddb2e64eb67adfc9b337157ff4
-----END OpenVPN Static key V1-----

TLS密钥使用模式:TLS身份验证
对端证书颁发机构:NordVPN_NL120_CA;
对端证书吊销列表:未定义。
客户端证书:webConfigurator default (59f92214095d8)(Server: Yes, In Use)(请注意,您计算机上的数字可能不同);
加密算法:AES-256-GCM
启用NCP:选中。
NCP算法:AES-256-GCM和AES-256-CBC。
认证摘要算法:SHA512(512 bit)
硬件加密:无硬件加密加速。

4、隧道设置

IPv4隧道网络:留空;
IPv6隧道网络:留空;
IPv4远程网络:留空;
IPv6远程网络:留空
限制出站带宽:留空;
压缩:No LZO Compression [Legacy style,comp-lzo no];
拓扑:子网–公共子网中每个客户端一个IP地址
服务类型:不选;
不推送路由:不选;
不添加/删除路由:选中。

5、高级配置

自定义选项
tls-client;
remote-random;
tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
persist-key;
persist-tun;
reneg-sec 0;
remote-cert-tls server;

UDP快速 I/O:选中;
发送/接收缓冲区:默认
网关创建:仅IPv4
信息级别:3(推荐);

四、分配接口

导航到Interfaces -> Interface Assignments,然后添加NordVPN NL120接口。打开刚才分配的接口OPT1,填写以下信息:

启用:选中
说明:NordVPN
Mac地址:空白
MTU:空白
MSS:空白

不要修改其他任何内容,滚动到底部,点击“保存”。

五、设置DNS解析

1、常规设置

导航到Services -> DNS Resolver -> General Settings,填写以下参数:

启用:选中
侦听端口:保留默认
启用S​​SL/TLS服务:不选
SSL/TLS证书:webConfigurator default (59f92214095d8)(Server: Yes, In Use) (请注意,您计算机上的数字可能不同);
SSL/TLS侦听端口:保留默认
网络接口:全部
传出网络接口:NordVPN
系统域本地区域类型:透明
DNSSEC:不选
DNS查询转发:选中
DHCP注册:选中
静态DHCP:选中

设置完成后,点击底部的保存。

2、高级设置

导航到Services -> DNS Resolver ->Advanced Settings,然后填写以下内容:

高级隐私选项:

隐藏身份:选中
隐藏版本:选中

高级解析器选项:

预取支持:选中
预取DNS密钥支持:选中

点击底部的保存。

六、出站NAT设置

导航到Firewall -> NAT -> Outbound,然后选择手动出站NAT规则生成,点击保存。然后将出现四个规则。保留所有规则,并添加一个新规则。
接口:选择NordVPN;
源:LAN子网;
点击保存,如下图所示:

七、修改防火墙规则

导航至Firewall -> Rules -> LAN,删除IPv6规则。编辑现有的IPv4规则。找到规则设置页面的显示高级选项 ,将网关更改为NordVPN,击保存。如下图所示:

八、设置DNS

转到System -> General Setup,填写DNS信息:

DNS服务器1:103.86.96.100;none
DNS服务器2:103.86.99.100; NordVPN_VPNV4-…

点击保存

九、查看VPN状态

导航到Status -> OpenVPN,可以看到服务状态正常,如下图所示:

也可以在Status -> System Logs -> OpenVPN下检查连接日志文件:

现在,你的pfSense已经与Nord VPN建立了正确的连接。

十、可选路由设置

如果内网的某些设备或计算机不需要连接VPN进行访问,则必须设置pfSense可选路由。注意:在设置可选路由之前,必须在前面的VPN客户端“隧道设置”部分,选中“Don’t pull routes(不推送路由)”。

1、添加防火墙规则

导航到Firewall → Rules → LAN。

单击添加新规则。修改以下设置:

动作:Pass
接口:LAN
协议:any
源:单主机或您希望从VPN隧道排除的别名→设备的IP地址。(您也可以填写整个子网,也可以填写IP地址范围)
网关:WAN_DHCP


保存更改后,规则列表如下图所示:

2、调整出站设置

在完成可选路由设置后,必须导航至Firewall → NAT → Outbound,根据下图重新调整“映射”:

3、重置防火墙规则

保存并应用更改。导航到Diagnostics → States → Reset States,选中Reset the firewall state table(重置防火墙状态表) →Reset(重置)。

现在可以通过IP检查网站,来查看指定设备是否通过ISP连接进行路由,而其他设备是否通过VPN隧道进行路由。

原文地址

发表在 pfSense | 标签为 | 留下评论